Le 20 août dernier, le Comité permanent de l’Assemblée populaire de la République de Chine a adopté une loi sur la protection des informations personnelles (« PIPL »), qui entrera en vigueur le 1er novembre 2021. Celle-ci vient compléter la loi sur la cybersécurité (« CSL ») et la loi sur la sécurité des données (« DSL ») afin d’établir un large éventail normatif dans ce contexte de régulation accrue des sociétés technologiques chinoises par les autorités. Il ressort de cette loi des principes équivalents à ceux inscrits au sein du RGPD. Pourtant, la loi PIPL prévoit-elle réellement une protection des données personnelles telle que conçue par l’Union européenne  ?

Présentation de la Personal Information Protection Law : comme une impression de déjà vu

La « PIPL » s’établit au sein d’un riche corpus législatif comprenant 8 chapitres et 74 articles  visant à définir le champ d’application des informations personnelles et les droits octroyés aux personnes concernées, clarifier les bases juridiques de traitement des informations personnelles, exposer les obligations des responsables de traitement des données ainsi que les obligations légales et détailler les exigences en matière de localisation des données personnelles puisqu’elle est au cœur du transfert transfrontalier des informations personnelles.

Tout d’abord, la PIPL définit la notion « d’informations personnelles » comme toute information (telle que les données vidéos, vocales ou d’image) relative à toute personne physique identifiée ou identifiable, peu importe qu’elle se présente sous forme électronique ou sous toute autre forme, à l’exclusion de toute information anonyme. Outre les informations personnelles, la PIPL définit également les « informations personnelles sensibles » comme les informations personnelles dont la fuite ou l’utilisation illégale pourrait facilement conduire à une violation de la dignité d’une personne physique ou à une atteinte à la sécurité des personnes ou des biens.

Ces définitions autour de la notion d’informations personnelles comblent un vide juridique et constituent le point de départ de l’ensemble du dispositif de régulation. En outre, les entreprises chinoises ont désormais la possibilité de fonder leurs traitements d’informations personnelles selon différentes bases juridiques. En effet, la PIPL érige six bases juridiques de traitement des données personnelles dont le consentement, l’exécution contractuelle, la nécessité de répondre à des obligations légales ou responsabilités statutaires et trois autres fondements se référant à des situations d’urgence ou d’intérêt public. Tout comme dans le cadre du RGPD, la protection des données personnelles en Chine met en vigueur une pluralité de base de traitement où le consentement des internautes se positionne comme le plus adéquate dans de nombreuses situations. En effet, celui-ci est notamment obligatoire lorsque les informations personnelles collectées sont sensibles, lorsqu’une fois traitées elles sont divulguées publiquement ou encore lorsque ces informations sont transférées en dehors de la Chine. Cette approche de la protection des données personnelles évoque largement celle établie par le RGPD dont les différences se cantonnent à des modalités juridiques ou encore à l’usage d’informations personnelles au lieu de données personnelles. Ces deux qualifications renvoient à une conception analogue puisque le RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable.

Les exigences principales d’une loi contre les géants du numérique chinois

La PIPL a été adoptée dans un contexte de contrôle accru des géants du numérique chinois qui eux aussi fondent leurs modèles économiques sur la collecte et l’exploitation des informations personnelles des consommateurs chinois. Afin de réduire cette collecte massive, la loi instaure le principe de minimisation qui implique par analogie aux dispositions du RGPD que les informations personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités de la collecte. De plus, les entreprises du numérique seront contraintes de demander une autorisation pour traiter des informations personnelles contenant des informations biométriques, médicales, sanitaires, financières et de localisation dans la mesure où celles-ci correspondent à des informations personnelles sensibles. Ensuite, les entreprises devront désigner un responsable du traitement des données ayant pour mission de s’assurer de la sécurité des systèmes et de la confidentialité des données. Enfin, la PIPL semble profondément soucieuse de la portabilité des informations personnelles conduisant à établir une interdiction de transférer de la Chine vers d’autres pays n’ayant pas le même niveau de protection des données.

Peut-on réellement affirmer que la PIPL est un équivalent du RGPD ? 

De prime abord, la PIPL et le RGPD semblent analogues puisque tous deux prévoient une sécurité des données, une minimisation lors de leur collecte, l’obligation d’un consentement licite ou encore la désignation d’un responsable de traitement tel qu’un DPO. Pourtant, ces deux instruments juridiques possèdent une différence majeure qui entache la portée de la protection des informations personnelles en Chine à savoir que l’ensemble des dispositions adoptées ne sont pas applicables à l’État. Ainsi, contrairement au RGPD qui permet aux individus de se protéger contre la collecte de données et de fichiers opérés par l’État, la PIPL demeure muette et prescrit des dispositions uniquement pour les entreprises. L’État chinois exonéré de tout cadre normatif peut alors librement et massivement collecter et stocker toute sorte d’informations personnelles au détriment de la population chinoise. De plus, les champs d’application des deux lois divergent puisque le RGPD s’applique à toute entreprise traitant des données de citoyen européen alors que la PIPL ne concerne que les entreprises domiciliées en Chine. Cette loi présente alors un intérêt international puisque toute entreprise installée en Chine doit se mettre en conformité.

Cette loi s’inscrit dans un paradigme significativement différent de celui du RGPD. La régulation opérée par la Chine cherche à contrer la montée en puissance des géants du numérique chinois tel que Alibaba ou encore Tencent et à empêcher les entreprises étrangères à avoir accès à des informations personnelles détenues par les entreprises chinoises. L’instauration d’un dispositif de protection des données personnelles constitue une avancée pour la population chinoise confrontée à de nombreuses fuites et exploitations abusives des informations collectées. Néanmoins, l’objectif à long terme poursuivi par les autorités chinoises au travers de cette loi se limite-t-il à la protection des données de la population chinoise quand on voit le délai de mise en conformité exigé et les sanctions prévues en cas d’écart ? En effet, la loi adoptée le 20 août 2021 prévoit un délai de deux mois seulement pour que l’ensemble des entreprises se mettent en conformité avant d’être exposées à des sanctions pécuniaires importantes. Quand on sait que le RGPD avait prévu un délai de 2 ans pour que les entreprises se conforment à cette nouvelle disposition et que nombres d’entre elles maintiennent des pratiques inadéquate, il parait difficile que les organismes chinois puissent relever le défi.

Sources :

Dufour (O) et Frison-Roche (M-A), La nouvelle loi de protection des données en Chine est un « anti-RGPD », Actu-juridique.fr, 2 septembre 2021

Guo (B), Kelley (S) et al., China Personal Information Protection Law will become effective soon, White&case, 22 september 2021

Ben Hu (Y), China’s Personal Information Protection Law and its global impact, The diplomat, 31 august 2021

La Chine adopte une grande loi sur les données personnelles en ligne, Le Figaro, 20/08/2021

Fillippone (D), La Chine impose la géolocalisation des données sur son territoire, Le Monde informatique, 01 juin 2017

RGPD, art. 4, 1°